Image
12.9.2019 0 Comments

Phishing cielený na Instagram sa maskuje za dvojfázové overovanie

Počiatky phishingových útokov boli v znamení snahy kybernetických zločincov o preniknutie do bankových účtov. Teda tam, kde oprávnene očakávali možnosť dostať sa k peniazom. Pred pár rokmi sme zaznamenávali množstvo e-mailov informujúcich o problémoch s účtom v bankových inštitúciách, o ktorých drvivá väčšina príjemcov nikdy nepočula, nieto aby u nich mal niekto z obetí otvorený účet. Na prvý pohľad tak bolo jasné, že niečo nie je v poriadku a že ide s najväčšou pravdepodobnosťou o podvodné aktivity. V tejto ére phishingu získali na význame odporúčania hľadať chyby v textoch emailov aj na webových stránkach, vrátane zlého pravopisu alebo nesprávneho slovosledu, ktoré stále platia aj dnes. Podvodníci stále robia chyby a tieto nedostatky je výhodné využiť pre svoju ochranu.

Aj v súčasnosti sa stále stretávame s phishingovými útokmi, ktoré majú za cieľ získať prístup k nášmu internetovému bankovníctvu. Navyše nám ale prichádzajú ďalšia falošné e-maily, ktorých odosielatelia sa zameriavajú na získanie hesiel aj od ďalších nami používaných služieb. Obzvlášť zaujímavé sú pre počítačových zločincov účty elektronickej pošty, a to z úplne jednoduchého dôvodu: e-mail je prostriedok pre obnovu zabudnutého hesla v mnohých ďalších službách. Zločinci, ktorí majú prístup k vašej elektronickej pošte, môžu vo vašom online účte zneužiť položku "Obnoviť heslo" a následne kliknúť na možnosť "Zvoliť nové heslo", ktorá sa zvyčajne dostaví práve vo forme e-mailu. Heslo potom jednoducho zmenia a vy ani nemusíte zistiť, že niekto vôbec o zmenu hesla požiadal.

Veľmi cenené sú aj prístupové údaje k sociálnym sieťam, pretože interné informácie na týchto sieťach zvyčajne poskytnú oveľa viac informácií, než by mohli počítačoví zločinci zistiť bežným vyhľadávaním na internete. Útočníci idú ale oveľa ďalej - s využitím takto napadnutého účtu môžu oklamať aj príbuzných a priateľov vlastníka účtu, prípadne ukradnúť celý účet. Útoky zamerané na získanie prístupu k e-mailovým účtom alebo k sociálnym sieťam sú dnes častejšie, než tradičné pokusy o preniknutie do online bankovníctva, a sú navyše čím ďalej vierohodnejšie. Podobne tomu je aj v prípade pokusu zameraného na službu Instagram, ktorý nedávno zachytila globálna sieť pre skúmanie hrozieb Sophos Labs.

Podvody sú bohužiaľ stále dokonalejšie
Podľa bezpečnostných expertov SophosLabs si zločinci útočiaci na službu Instagram svoj zámer dobre premysleli - okrem niekoľkých chýb v interpunkcii a chýbajúce medzery pred slovom "Please" sa jedná o úplne čistú a zreteľnú správu, ktorá nevyzerá nijako podozrivo. Príjemca správy sa môže domnievať, že ide o kód pre verifikáciu v dvoch krokoch, ktorá má potvrdiť, že on nebol tým, kto sa pokúsil o prístup k účtu, a že pritom nebude nutné zadať heslo. Mechanizmus dvojfázového overovania je pritom veľmi spoľahlivou metódou. V prípade útoku na Instagram ale odkaz pre prihlásenie vedie na podozrivú doménu s koncovkou .CF, ktorá náleží Stredoafrickej republike.

Samotný názov domény je nepresným odhláskováním slova login, pretože s najväčšou pravdepodobnosťou sa útočníkom nepodarilo zadarmo získať doménu s uveritelnejším menom. Stredoafrická republika je jednou z mnohých sa rozvíjajúcich ekonomík a niektoré domény rozdáva zadarmo v domnení, že tak naláka nových používateľov. Zaujímavé doménové názvy sa tu však predávajú aj za 500 a viac amerických dolárov. Avšak samotná falošná prihlasovacia stránka je veľmi vierohodnou kópiou originálu, a dokonca využíva aj platný SSL certifikát pre HTTPS komunikáciu.

Webové certifikáty zaisťujú bezpečnosť vášho spojenia s konkrétnou webovou stránkou a zabraňujú preniknutiu do prebiehajúcej komunikácie. Podobne sú potvrdením toho, že osoba, ktorá si certifikát zaobstarala, mala k takto chránenej webovej aplikácii či prezentácii prístup a mohla ju upravovať. V žiadnom prípade však tieto certifikáty nie sú potvrdením pravosti obsahu webových stránok alebo na nich uložených súborov. Inými slovami, web bez certifikátu by pre vás nemal byť dôveryhodný a absencia ikony zámku by vás mala varovať rovnako ako preklepy či gramatické chyby. Rovnako tak ale platí, že nemožno automaticky dôverovať webovej stránke len preto, že certifikát existuje a odkaz na ňu pochádza z jazykovo bezchybného e-mailu. Falošná prihlasovacia stránka na Instagram je tej pravej veľmi podobná a nemožno sa tak spoľahnúť, že vizuálne chyby užívateľa upozornia:

Ako odhaliť útok na váš instagramový účet?
Phishingová stránka vyzerá v poriadku a nechýba ani ikonka zámku informujúca o tom, že je použité šifrovanie pomocou protokolu HTTPS. Ako teda spoznať, že "niečo nehrá" a ochrániť sa pred podobnými podvodmi? Dobrou správou je, že aj keď si tentoraz útočníci dali skutočne záležať, stále ešte existujú isté podozrivé znaky, ktoré by vás mali varovať.

- Venujte zvýšenú pozornosť všetkým e-mailom, ktoré vyzerajú ako bezpečnostné varovanie. Ide o bežne používaný trik.
- Prítomnosť odkazu pre prihlásenie. Nie je žiadny dôvod na to, aby ste takýto odkaz používali. K Instagramu môžete pristupovať zadaním jednoduchej adresy alebo napríklad pomocou mobilnej aplikácie či odkazu zo záložky vo webovom prehliadači, ktorú ste si sami nastavili. Áno, zaberie to chvíľku práce navyše, ale nejde o nič zložité.
- Podivný názov domény. Vždy si skontrolujte, kam sa po klinutí na daný odkaz dostanete - ak je adresný riadok pre zobrazenie celej adresy príliš krátky, jednoducho si adresu skopírujte a pozrite sa na ňu napríklad v textovom editore. Ak adresa vyzerá akokoľvek podozrivo, predpokladajte, že ide o problém a takýto odkaz ignorujte alebo si pravosť adresy skúste overiť u niekoho, komu dôverujete. Áno, opäť je to trochu práce navyše, ale ako u predchádzajúceho bodu nejde o nič zložitého.
- Neočakávaná žiadosť. Ak sa obávate, že sa k Vášmu účtu prihlásil niekto iný, použite pre overenie oficiálny spôsob podporovaný prevádzkovateľom služby. Nevyužívajte webové odkazy - tie môžu v skutočnosti pochádzať od kohokoľvek. Je síce nepríjemné, že každá sociálna sieť používa trochu odlišný postup, ale akonáhle si osvojíte základné pravidlá, už nikdy vás útočníci pomocou falošného e-mailu neoklamú. Aj tu platí, že je to trochu práce navyše, avšak nejde o zložité opatrenia.

Zobrazit Galériu

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Koniec autosedačkám? Smart Kid Belt - šikovné riešenie na ochranu detí v aute

19.11.2019 00:00

Na trh prichádza novinka pre väčšiu bezpečnosť detí v automobiloch. Detský pás Smart Kid Belt dokáže nahradiť detskú autosedačku alebo podsedák a dodá vám aj dieťaťu pocit pohodlia a bezpečia. Smart K ...

Bezpečnosť 4

ESET uvoľnil nástroj na šifrovanie celého disku na ochranu pred neoprávneným prístupom k údajom

17.11.2019 00:00

ESET vydal nový produkt ESET Full Disk Encryption. Riešenie je určené na ochranu pred neoprávneným prístupom k údajom uloženým na firemných počítačoch a laptopoch v prípade ich straty alebo krádeže. P ...

Bezpečnosť

Klimatické zmeny urobia mestá neobývateľnými. Je čas utiahnuť sa do podzemia

13.11.2019 00:20

Podzemné mestá sú už dávno témou sci-fi, no teraz sa o nich uvažuje celkom vážne. Mestská rada vo fínskych Helsinkách schválila v roku 2010 Podzemný územný plán, ktorý bol dokončený v roku 2019 a pokr ...

Žiadne komentáre

Vyhľadávanie

ACER_122019

Najnovšie videá